苹果密码应用漏洞被披露：黑客可钓鱼窃取凭证，iOS 18.2已修复

IT之家 3月19日消息，科技媒体9to5Mac 昨日（3月18日）发布博文，报道称安全团队Mysk检查iPhone 的“App隐私报告”后发现，官方独立应用“Passwords”存在HTTP协议漏洞，直至iOS 18.2修复。

IT之家注：苹果iOS 18（2024年9月上线）推出独立密码管理应用“Passwords”，直至iOS 18.2（2024年12月上线）修复，期间受影响时间范围为3个月，用户面临钓鱼风险。

安全团队表示，Passwords应用曾通过不安全的HTTP协议与130个网站通信，包括获取账户图标和默认打开密码重置页面。研究人员指出用户连接公共WiFi后，黑客可以截获Passwords发送的初始HTTP请求。

然后将用户重定向至仿冒的钓鱼页面（如伪造微软的live.com），用户输入密码后，攻击者可直接获取凭证并发动进一步攻击。苹果在iOS 18.2此前版本中，未强制使用加密的HTTPS协议，且未提供关闭图标下载的选项，导致应用频繁向网站发送请求。

苹果在2024年12月发布的iOS 18.2更新中，并在3月17日更新日志，已经修复了 Passwords应用的该漏洞，默认使用加密协议，避免未受保护的HTTP连接。